Xctdoor Backdoor

Serverul de actualizare al unui furnizor de ERP (Enterprise Resource Planning) din Coreea de Sud a fost descoperit compromis, distribuind o ușă din spate bazată pe Go numită Xctdoor. Cercetătorii au descoperit acest atac în mai 2024 și, deși nu au identificat un anumit actor sau grup de amenințări, au observat asemănări cu tacticile folosite de Andariel , un subgrup legat de notoriul Grup Lazăr .

Aceste tactici fac ecou incidente anterioare care au implicat adversarul nord-coreean, care a exploatat anterior soluția ERP pentru a disemina programe malware precum HotCroissant (cunoscut și sub numele de Rifdoor ) în 2017. Acest lucru a fost realizat prin implantarea unui cod rău intenționat într-un mecanism de actualizare a software-ului.

Backdoor Xctdoor oferă atacatorilor numeroase capacități dăunătoare

În timpul analizei atacului, s-a stabilit că executabilul a fost modificat pentru a rula un fișier DLL dintr-o anumită cale folosind procesul regsvr32.exe în loc să inițieze un program de descărcare. Acest fișier DLL, cunoscut sub numele de Xctdoor, are capabilități de captare a informațiilor de sistem, cum ar fi apăsările de taste, capturi de ecran și conținutul clipboard-ului și de a executa comenzile emise de atacator.

Xctdoor comunică cu un server Command-and-Control (C2) prin HTTP, cu criptarea pachetelor utilizând algoritmii Mersenne Twister (MT19937) și Base64. Atacul implică și o altă variantă de malware numită XcLoader, concepută pentru a injecta Xctdoor în procese legitime precum „explorer.exe”. Descoperirile recente indică situații în care serverele web nesecurizate inadecvat au fost compromise pentru a instala XcLoader din martie 2024 cel puțin.

Același proces abuzat de alte amenințări malware

Procesul regsvr32.exe a fost exploatat în alte campanii legate de Coreea de Nord, în special de grupul Kimsuky APT. Ei au folosit o ușă din spate nedezvăluită numită HappyDoor, operațională din iulie 2021.

Aceste secvențe de atac încep de obicei cu e-mailuri de tip spear-phishing care distribuie un fișier comprimat. În această arhivă, se găsește un JavaScript sau dropper ofuscat, care, la execuție, lansează HappyDoor alături de un fișier momeală. HappyDoor, implementat ca fișier DLL prin regsvr32.exe, stabilește comunicarea cu un server la distanță prin HTTP. Funcționalitățile sale includ furtul de date, capacitățile de descărcare/încărcare de fișiere și capacitatea de a auto-actualiza și de a încheia procesele.

Infecțiile din spate pot avea consecințe grave pentru victime

Victimele infecțiilor malware din ușile din spate se pot confrunta cu consecințe grave din cauza naturii ascunse și persistente a acestor amenințări. Iată câteva efecte potențiale:

• Furtul de date : ușile din spate permit adesea atacatorilor să colecteze informații private, cum ar fi acreditările de conectare, date financiare, proprietate intelectuală și fișiere personale. Aceste date colectate pot fi exploatate pentru câștiguri financiare sau folosite în alte atacuri.
• Supraveghere și monitorizare : ușile din spate le pot permite atacatorilor să monitorizeze și să supravegheze activitățile victimei, inclusiv apăsări de taste, capturi de ecran, fluxuri webcam și intrare de microfon. Această invazie a vieții private poate duce la spionaj personal sau corporativ.
• Acces neautorizat : Atacatorii pot obține acces neautorizat prelungit la sistemele compromise. Acest acces poate fi folosit pentru a manipula sau sabota sisteme, pentru a întrerupe operațiunile sau chiar pentru a implementa programe malware suplimentare.
• Compromis de sistem : ușile din spate slăbesc adesea postura generală de securitate a sistemului, făcându-l vulnerabil la exploatarea ulterioară. Acest lucru poate duce la compromisul altor sisteme sau resurse conectate din cadrul rețelei.
• Pierdere financiară : întreprinderile pot suferi pierderi financiare din cauza furtului de fonduri, pierderii oportunităților de afaceri, a datoriilor legale și a costurilor asociate cu eforturile de remediere și recuperare.
• Daune reputației : Pentru organizații, o infecție din spate poate duce la deteriorarea reputației, pierderea încrederii clienților și scăderea valorii mărcii. Acest lucru poate avea consecințe pe termen lung asupra relațiilor de afaceri și operațiunilor.
• Întreruperi operaționale : ușile din spate pot perturba operațiunile normale provocând blocări ale sistemului, încetiniri sau condiții de refuzare a serviciului. Acest lucru poate duce la timpi de nefuncționare, pierderi de productivitate și impacturi financiare din cauza întreruperii serviciilor.
• Probleme de reglementare și de conformitate : organizațiile se pot confrunta cu amenzi de reglementare și consecințe legale dacă sistemele compromise manipulează date sensibile care fac obiectul legilor privind confidențialitatea sau reglementărilor din industrie.
• Dificultate în detectarea și eliminarea : ușile din spate sunt concepute pentru a evita detectarea prin măsuri de securitate, cum ar fi software-ul anti-malware și firewall-urile. Detectarea și eliminarea lor completă poate fi o provocare, necesitând cunoștințe și instrumente specializate.
• Vulnerabilitatea pe termen lung : Chiar și după remedierea inițială, sistemele compromise pot rămâne vulnerabile la atacuri viitoare sau încercări persistente de reactivare a ușilor din spate de către atacatori hotărâți.

În general, consecințele infecțiilor cu malware din ușile din spate pot fi severe și cu mai multe fațete, impactând atât persoanele, cât și organizațiile în ceea ce privește daunele financiare, operaționale și reputaționale, precum și compromițând confidențialitatea și securitatea acestora.